Deux rapports, l’un réalisé par Signicat et l’autre provenant de Mailinblack, soulignent le poids croissant du cyber-risque humain.
Ils craignent la fraude pilotée par l’IA mais n’ont pas trouvé les moyens de la combattre. Près de trois quarts (76%) des décideurs en matière de fraude dans les banques, les assurances et autres fintech, reconnaissent le danger croissant de l’usage de l’IA pour fabriquer de la fraude à l’identité dite «fraude au président» de haut niveau. Mais seule une organisation sur cinq (22%) met en oeuvre ou envisage de mettre en œuvre des mesures de prévention de cette fraude très spécifique et élaborée.
Ce constat est issu du rapport The Battle Against AI-driven Identity Fraud réalisé par Signicat, un éditeur spécialisé dans le domaine de l’identité numérique qui a enquête auprès de 1200 décideurs européens dans ce domaine sensible autour du paiement et des opérations financières. «Malgré une forte sensibilisation à la menace, les résultats révèlent un écart important entre la compréhension du problème et le passage à l’action », observent les auteurs.
Parmi les raisons évoquées par les décideurs dans les entreprises pour justifier leur retard dans l’action dont eux-mêmes sont conscients, le manque d’expertise et de connaissances spécifiques, le manque de temps et le manque de budget apparaissent avec la même fréquence, entre 74% et 76% des réponses. A croire qu’il faut se retrouver parmi les victimes de la fraude pour comprendre l’urgence et dégager les ressources matérielles et humaines à la recherche des compétences et des solutions. En tout cas plusieurs entreprises dans le retail sont déjà passées par là, même si les typologies de fraude pouvaient varier.
Degré de précision et de personnalisation élevé
Un autre rapport, provenant de Mailinblack, confirme la tendance. Cet éditeur d’une plateforme de cybersécurité, spécialisé dans la protection de messagerie, souligne le poids croissant du cyber-risque humain. Et en particulier des attaques de spearphishing ou «fraude au président», de l’usurpation de l’identité avec un degré de précision et de personnalisation élevé. Ces attaques réalisées à travers des messageries, représentaient 2,39 % des cyber-attaques répertoriées par les solutions Mailinblack en 2023. Elles pèsent 7,92% en 2024, soit le triple. «L’augmentation du spearphishing découle notamment de l’essor de l’utilisation de l’intelligence artificielle générative grâce à laquelle les hackeurs amplifient leurs tactiques d’ingénierie sociale, rendant les attaques plus sophistiquées et difficiles à détecter», note Cassie Leroux, directrice de produits chez l’éditeur. Ici aussi l’IA excelle dans l’utilisation du biais cognitif pour générer la confiance de l’employé avant de lui enjoindre l’ordre d’exécuter une action, souvent bénigne au premier regard, mais qui ouvrira au hackeur une porte dans l’informatique de l’entreprise.
Une défense multicouche pour lutter contre le fléau d’usurpation d’identité
Les attaques par messagerie avec usurpation d’identité peuvent aussi prendre des formes variées en affichant l’identité d’un fournisseur, d’un prestataire, d’un partenaire. Comme en témoigne la liste des dix identités les plus souvent usurpées par les hackeurs en France en 2024, dressée par Mailinblack : HSBC, Amazon, DHL, FedEx, Apple, Zoom, Microsoft, Google, AXA, La Poste. Le stress du salarié (18% des cas) et l’autorité de l’auteur prétendu du message (12%) sont les premiers biais cognitifs utilisés par les hackeurs dans ces scénarios.
Comment lutter contre le fléau d’usurpation d’identité par l’IA ? Signicat préconise la création d’une défense multicouche. Elle comprend la mise en place des outils de vérification et d’authentification de l’identité. La sensibilisation et la formation du personnel, dans l’entreprise mais aussi des collaborateurs externes, deviennent incontournables. Et aussi, et c’est le plus novateur : engager l’IA pour lutter contre la fraude pilotée par l’IA. Des technologies révolutionnaires avec notamment la vérification biométrique avancée de l’identité, devraient permettre de détecter la fraude en temps réel, y compris la falsification de documents et l’usurpation d’identité, notamment les «deepfakes». Combattre l’IA par l’IA, le concept a de beaux jours devant lui.
Je souhaite lire les prochains articles des Clés du Digital, JE M’INSCRIS A LA NEWSLETTER
Laisser un commentaire